Gotovo smo gotovi s našom serija Geek Škola na alatima SysInternals, a danas ćemo govoriti o svim alatima koji vam pomažu u rješavanju datoteka i mapa - bilo da ste pronašli skrivene podatke ili sigurno uklonili datoteku.
NAVIGACIJA ŠKOLEU alatnoj traci ima dosta alata koji se bave raznim stvarima povezanim s datotekama ili mapama ili pronalaženjem podataka koje niste znali da postoji, a postoji i nekoliko koji su malo na glupoj strani. Bilo kako bilo, sve ćemo ih pokriti.
Najvažniji alati povezani s datotekom u kompletu za upoznavanje su vjerojatno Sigcheck i Streams programi, ali bilo bi dobro pročitati ih sve pažljivo.
Većina ljudi ne zna za ovu značajku, ali Windows će vam omogućiti spremanje podataka u skrivenom odjeljku u datotečnom sustavu zvanom alternativni tok podataka. To u osnovi funkcionira dodavanjem debelog crijeva i jedinstveni ključ do kraja naziva datoteke u interakciji s njom.
Na primjer, ako želite sakriti neke podatke u datoteci, možete učiniti nešto sličnoecho Secret> filename.txt: skrivenačak i ako ste otvorili tu tekstualnu datoteku u Notepad, ne biste vidjeli tajni tekst koji ste dodali, a ne bi postojao drugi način da se zna da je čak i tamo. Zapravo, možete učiniti gotovo sve što želite koristeći ovu tehniku. (Obavezno pročitajte naš članak o toj temi za puno objašnjenje).
Ovo je također tehnika koja Windowsu omogućuje da magično znaju da su datoteke preuzete s interneta skrivajući podatke unutar polja Zone.Identifier. Zapravo, taj alternativni tok podataka možete izbrisati pomoću uslužnog programa Streams.
Sintaksa je jednostavna - da biste vidjeli streamove, upišite sljedeće na upit:
potoci
Također možete koristiti "streams * .exe" ili nešto slično da biste vidjeli sve datoteke s skrivenim stream podataka, ako ih ima. Najbrži način da vidite nešto jest da krenete u svoj katalog za preuzimanje i pokrenete ga tamo.
Da biste izbrisali jedan od tokova ili mnoge od njih, možete upotrijebiti opciju -d:
tokovi -d
Također možete upotrijebiti -s opciju za rekurzivno otvaranje poddirektorija.
Ovaj vrlo koristan alat analizira digitalne potpise datoteka na vašem sustavu i govori o tome jesu li važeći ili nedostaju certifikat. Također ga možete upotrijebiti da biste provjerili datoteke protiv VirusTotala iz naredbenog retka, što je prikladno, jer je to prava stvar ovog alata, pronaći zlonamjerni softver.
Uobičajena i najkorisnija sintaksa je dodavanje -u prekidača koji samo prijavljuje probleme i -e prekidač, koji samo provjerava izvršne datoteke. Dakle, možete pokrenuti nešto slično kako biste provjerili direktorij sustava32 i provjerite jesu li sve datoteke digitalno potpisane. Sve ostalo bi se trebalo pomno ispitati.
sigcheck -e -u C: \ Windows \ System32
Također možete upotrijebiti -v opciju za dodatnu provjeru protiv VirusTotal, ali ćete morati koristiti opciju -vt prvi put da prihvatite njihove uvjete i odredbe.
sigcheck -v -vt
Ako ste paranoidni tip, rado ćete znati da možete sigurno obrisati datoteke iz naredbenog retka kad god poželite. Jednostavno upotrijebite program sdelete da biste zapisali datoteku s protokolima brisanja koji su u skladu s DoD-om. (Naravno, NSA vjerojatno još uvijek ima kopiju datoteke). Sintaksa je jednostavna:
sdelete
Alternativno možete očistiti slobodni prostor na pogonu pomoćusdelete -copcija, koja će trajati dulje, ali je dobra opcija ako ste zaboravili koristiti sdelete kako biste uklonili datoteku na prvom mjestu.
Ako želite defragmentirati samo jednu datoteku ili popis datoteka, možete koristiti program Contig da to učinite upravo to. Naravno, zapravo ne morate defragirati datoteke u suvremenim verzijama sustava Windows koje to automatski čine. I da, ako koristite solid state drive, nikada ne biste trebali defragmentirati niti trebate. Ali ako apsolutno, pozitivno, morate defragmentirati jednu datoteku, ovo je korisnost za to. Sintaksa je jednostavna:
graničnik
Ako želite analizirati fragmentaciju datoteke bez da zapravo radite ništa, možete upotrijebiti preklopku-a kao što je prikazano u nastavku:
Važno je napomenuti da čak i ako je datoteka fragmentirana, ako je datoteka veoma velika i razbijena samo u nekoliko velikih komada, nećete dobiti bitno od defragmentacije i izgubiti više vremena nego što biste ga mogli uštedjeti.
U Windows Exploreru uvijek možete desnom tipkom miša kliknuti bilo koju datoteku ili mapu i odabrati Svojstva ili upotrijebiti ALT + ENTER tipkovnički prečac da biste vidjeli veličinu datoteke ili mape. Ali što ako želite vidjeti podatke iz naredbenog retka? Tamo dolazi i uslužni program du, a to je i malo točniji jer ne broji simboličke povezane datoteke i provjerava alternativne tokove podataka.
Opcija -n samo provjerava jednu mapu, bez rekurivanja u poddirektorije, dok se opcija -v oporavlja i prikazuje svaki direktorij dok prolazi kroz popis, a opcija -l (n) provjerava samo dubine "n" razine.Kao u, -l 2 bi provjerio 2 razine duboko.
Jeste li se ikad zapitali zašto aplikacijske instalacije ponovno pokreću računalo? Odgovor je obično da žele premjestiti neke datoteke oko kojih se ne može pomicati dok Windows radi, tako da koriste ugrađenu značajku sustava Windows koja obrađuje premještanje ili brisanje datoteka pri ponovnom pokretanju.
Jedina stvar koju trebate učiniti je pokrenuti naredbu i ona će izlaziti podatke. Zašto je kopija Process Explorera zakazana za premještanje u mapu Windows na sljedećem ponovnom pokretanju? Nastavi čitati.
Ovaj uslužni program koristi ugrađenu značajku sustava Windows za zakazivanje premještanja, brisanja ili preimenovanja datoteke ili direktorija kako bi se to dogodilo tijekom sljedećeg ciklusa ponovnog pokretanja, prije nego što je Windows u potpunosti učitan. Sintaksa je stvarno jednostavna:
movefile
Ako želite izbrisati datoteku, možete upotrijebiti prazno odredište pomoću navodnika, npr.movefile "".Kao što možete vidjeti na snimci zaslona u nastavku, koristili smo naredbu Movefile kako bismo zakazali kopiju procesora da se premjestimo u direktorij Windows kako bismo ilustrirali način funkcioniranja.
Windows podržava simboličke veze za datoteke i mape, tako da možete imati više od jedne putne točke za istu datoteku kako biste uštedjeli prostor umjesto da imate više kopija datoteke. Ideja je slična prečacima, osim što je na razini datotečnog sustava i ugrađena u NTFS.
Uslužni program Junction omogućuje vam jednostavno stvaranje i brisanje tih veza. Možete ih i izbrisati pomoćuspoj -d.
čvor
Stvarnost je, međutim, da je Windows od Vista imao sposobnost stvaranja simboličkih veza s naredbom mklink, a vi svibanj također koristiti taj umjesto toga.
Ovaj mali uslužni program pronalazi sve hard linkove koji upućuju na datoteku. Tvrde veze razlikuju se od simboličkih veza jer brisanje jedne tvrdih veza zapravo ne briše datoteku ako postoje više tvrdih veza na tu datoteku, samo je izgleda da je izbrišete sve dok niste izbrisali sve hard linkove. Kada izbrišete konačnu tvrdnju, datoteka će se izbrisati.
Bilješka: ovo bi moglo biti zanimljiv način da se ne bi izbrisala određena datoteka od strane nekoga tko ima naviku brisanja datoteka. Samo stvorite čvrstu vezu sa svim datotekama koje ne želite da ih izgube.
U svakom slučaju, ovu naredbu možete jednostavno upotrijebiti:
findlinks
Jedini problem je da Windows 7 i 8 imaju ugrađenu naredbu koja čini istu stvar. Koristite ovo umjesto toga:
fsutil hardlink popis
Bilješka:Uvijek je bolje naučiti upotrijebiti ugrađene stvari kada je to moguće jer nikad ne znate kada ćete morati nešto raditi na računalu nekog drugog ako nemate svoj alat.
Ovaj alat vam omogućuje da vidite strukturu vašeg tvrdog diska u velikom detalju, a čak možete zumirati sve do i odabrati datoteku označiti na popisu, tako da možete vidjeti gdje je određena datoteka na pogonu, a također vidjeti je li fragmentirana ili ne. To nije strašno korisno za većinu ljudi, ali nadamo se da imate scenarij gdje biste ga morali koristiti.
Ovaj uslužni program stvara klon vašeg tvrdog diska računala dok je pokrenut i sve to snima u datoteku virtualnog tvrdog diska koja se može koristiti u virtualnom stroju. I to radi dok je računalo pokrenuto.
Tako je, možete stvoriti virtualni stroj vašeg tvrdog diska dok je računalo pokrenuto. To bi također moglo biti korisno za scenarije gdje želite napraviti neku forenzičku analizu stroja, ali na vlastitom računalu - mogli ste samo stvoriti klon, a zatim ga pokrenuti kao virtualni stroj.
Opcija za Vhdx govori da Disk2vhd koristi novi format VHDX datoteke umjesto VHD formata, koji je imao određena ograničenja. Po defaultu Disk2vhd će stvoriti zasebne datoteke za svaki fizički pogon, ali staviti particije u istu datoteku. Ako jednostavno planirate priložiti ovu VHD datoteku na drugi virtualni stroj, ili čak ga samo montirati na redovito Windows računalo, možete isključiti particiju koja vam nije potrebna na popisu. Ako planirate izvući virtualni stroj, vjerojatno biste trebali ostaviti sve provjereno.
VHD izlazna datoteka zapravo može biti stavljena na isti disk koji izrađujete kopiju, ali preporučujemo upotrebu drugog pogona, ako je moguće samo kako bi sve bilo brže.
Taj vam je uslužni program dopustio da defragmentirate datoteke sustava tijekom pokretanja, ali budući da ne radi na najnovijim verzijama sustava Windows, trebali biste ga preskočiti.
Ovaj uslužni program jednostavno sinkronizira sve spremljene podatke na disk kako bi se uvjerile da su sve izmjene datoteka zapisane na pogon i da se negdje ne pohranjuju u neki spremnik. Naravno, svaki put trebate koristiti opciju Sigurno uklanjanje ako želite biti sigurni da nećete izgubiti podatke kada povlačite flash pogon.
Ovaj uslužni program prikazuje stvarnu aktivnost tvrdog diska koja se događa u stvarnom vremenu - sektorima, čitanjima, zapisima, duljini podataka, sve je tamo. Jedini problem je da to nije strašno korisno za većinu ljudi.
Što je malo korisnije, možda je praćenje diska "Tray Disk Light" koje možete odabrati iz izbornika Options. Nakon što omogućite taj način, ona će se premjestiti u traku sustava i treperiti crveno za pisanje, zeleno za čitanje ili ostati sivo kad se ništa ne događa.
Ako se samo ikona podudara s Windows 8 malo bolje.
Jeste li ikada primijetili kako svaki pogon ima serijski broj koji izgleda kao 064B-1E81 ili nešto slično nezanimljivo? Ako želite promijeniti taj serijski broj na nešto zabavnije, to možete učiniti koristeći program VolumeID pomoću ove sintakse:
volumeid XXXX-XXXX
Napominjemo da sintaksa zahtijeva upotrebu heksadecimalnih znakova, tako da ne možete upisati GEEK-1337 kao i mi, jer to jednostavno neće funkcionirati.
Sutra ćemo završiti seriju s osvrtom na neke od malih komunalnih usluga koje smo propustili, kao i neke smjernice o zajedničkom korištenju svih alata i kada biste trebali izvući svaki alat.